自分が知りたかった内容を      体系立てて整理できたセッションに満足 株式会社アシスト 技術サービス本部 並木 雅之

会場は 8 割の入り具合で、昨今のセキュリティ問題の関心の高さを伺うことができた。見た目だけではあまり判断できないが、参加者も多種多様で、それだけインターネット環境というものが一般的であるということと、セキュリティ問題が切実なものなのであるということを実感した。

私がこのコンファレンスに応募したのは、Web サーバー管理者として、そしてアプリケーション開発支援者として、アタックの傾向と防御策を知るためであった。またもしアタックされた場合、すばやく復旧させるにはどうすればよいのかを知るために参加した。セッションは全部で 5 トラック用意されており、自分が知りたかった情報を得ることができたと非常に満足している。

まず最初に、三輪信雄氏による『進化する攻撃手法』。2 部構成となっており、1 部でのキーメッセージは、

1. 安全の維持は困難であり、
2. セキュリティポリシーがないというのは論外で、後手では役立たないし、
3. ウィルスワクチンだけでは安全を守れない、

というもので、今の時勢を考慮するとまったくもって同感であると感じた。対策の範囲や責任を明確化することで、「何を、どこまで、どうするのか」という必然のセキュリティポリシーも生まれてくると思う。2 部は、ファイアーウォールですべてを守ることはできないということと、社内犯罪やサーバーテロも、考慮しなければいけないという内容であった。

職場での自分の役割の中に、ソフトウェアパッケージのサポートがある。お客様が環境を作る際に、アプリケーション開発の支援をするというものだ。また、社内の Web サーバーの管理も担当しているため、『 e コマースサイトの脆弱な現実』のセッションで、講師の高木浩光氏が発した、『脆弱な現実』という言葉には敏感に反応してしまった。セッション自体は、『何が、どこが、どうして』脆弱なのかがよくわかる内容であった。ビデオを使った説明もあり、よく理解できたが、実演をしようとした時、コンファレンス会場内に電波が届かなかったのは、非常に残念であった。

次は三輪氏による『 Web アプリケーションに潜むセキュリティホール』。セッション中に指摘があったように、Web アプリケーションに含まれるセキュリティホール対策は、開発の各フェーズで行わないと、改修費用は莫大になる。これは私自身が実際に直面した問題でもある。Web アプリケーションの開発だけでなく、プラットフォームのセキュリティ対策もバランスよく行わなければならないという言葉を、今後自分が仕事をする上で、忘れずに役立てていこうと思った。

高木氏による『安全なサイト構築のためのセッション管理方式』では、開発者の視点に立った内容だったので、非常に役立った。『やるべきである』だけではなく、『やってはいけない』という観点もあったので、実践的で有用なものであった。

そして最後は、伊原秀明氏による『攻撃後の事後対策』。受けたダメージがどのくらいなのかをすぐに判断できれば、回復するまでに要する時間を自ずと割り出せるというのは当然のことであるが、今までの説明の最後に聞いたので、改めて納得させられた。 「Tripwire」というツールの紹介もあり、「何かあったときに、どうすればよいのか」を整理することができた。

今回のコンファレンス参加を通して、自分の頭の中でバラバラになっていたものを、体系立てて整理することができたのは非常に喜ばしいことである。セッションの内容も満足のいくものであった。